Si necesita observar / solucionar problemas de interacción entre un par de máquinas, Wirehark es excelente. Como una herramienta de monitoreo, en mi humilde opinión, wireshark no es exactamente la herramienta que necesita.
1. Perfile el tráfico de la red. Pruebe algunas herramientas de monitoreo reales: Herramientas de seguridad de red principales de SecTools. Está buscando el tipo de tráfico principal (probablemente HTTP, pero quién sabe), los que hablan mejor (deberían ser sus servidores, pero quién sabe) y el tráfico potencialmente malformado (gran cantidad de retransmisiones TCP, paquetes mal formados, altas tasas de paquetes muy pequeños. Probablemente no verá, pero quién sabe)
2. Al mismo tiempo, trabaje con su gerencia para desarrollar una política de uso de recursos de red. En general, en términos comerciales, qué necesidades comerciales debe cumplir la red informática y cuáles son los usos apropiados del recurso. Esto está costando dinero, por lo que tiene que haber una justificación comercial para su propia existencia. Su compañía tiene políticas para manejar el cajón de “caja chica”, y apostaría a que su infraestructura de red cuesta mucho más que eso. La clave en la que debe centrarse es no atrapar a las personas que hacen cosas malas, sino observar posibles actividades maliciosas que degraden la funcionalidad de la red (es decir, la capacidad de los empleados para realizar su trabajo). información sobre cómo crear políticas de seguridad apropiadas.
- ¿Dónde se aplica NAT en una red?
- ¿Dónde puedo encontrar los tutoriales más claros de iptables?
- ¿Qué es un firewall?
- ¿Por qué estamos usando los números de puerto junto con alguna URL en la web?
- ¿Qué es Ethernet y los usos de Ethernet?
3. La idea de @John_Rabotnik para un servidor proxy fue genial. Implemente un servidor proxy para el tráfico web. En comparación con los firewalls tradicionales, los servidores proxy le brindan una visibilidad mucho mejor de lo que está sucediendo, así como un control más granular sobre qué tráfico permitir (por ejemplo, sitios web reales) y qué tráfico bloquear (URL compuestas de [20 caracteres aleatorios ] .com)
4. Avísele a la gente: la red está teniendo un problema. Estás monitoreando el tráfico de la red. Bríndeles un mecanismo para registrar las ralentizaciones de la red y capture suficientes metadatos sobre el informe para que, en conjunto, pueda analizar el rendimiento de la red. Comunícate con tus compañeros de trabajo. Quieren que hagas un buen trabajo para que puedan hacer un buen trabajo. Estás en el mismo equipo.
5. Como regla general, bloquee todo y luego permita lo que debería permitirse. Su monitoreo desde el primer paso debería permitirle saber qué debe permitirse, según se filtró a través de su política de uso / seguridad de red. Su política también debe incluir un mecanismo por el cual un administrador puede solicitar que se otorguen nuevos tipos de acceso.
En resumen, el primer paso, la supervisión del tráfico (Nagios parece ser una herramienta estándar) lo ayuda a descubrir, en general, qué está pasando para detener el dolor inmediato. Los pasos 2 a 5 ayudan a prevenir el problema en el futuro.
